1　工業(yè)控制系統信息安全趨勢

隨著(zhù)工業(yè)控制系統的通用化、網(wǎng)絡(luò )化、智能化發(fā)展，工業(yè)控制系統信息安全形勢日漸嚴峻。一方面，傳統的互聯(lián)網(wǎng)信息安全威脅正在向工業(yè)控制系統蔓延，另一方面，針對關(guān)鍵基礎設施及其控制系統，以竊取敏感信息和破壞關(guān)鍵基礎設施運行為主要目的的攻擊愈演愈烈。主要原因是工業(yè)控制系統建設時(shí)更多的是考慮各自系統的可用性，并沒(méi)有充分考慮系統之間互聯(lián)互通的信息安全風(fēng)險和防護建設，使得國際國內針對工業(yè)控制系統的攻擊事件層出不窮?！罢鹁W(wǎng)”病毒事件為全球工業(yè)控制系統安全問(wèn)題敲響了警鐘，促使國家和社會(huì )逐漸重視工業(yè)控制系統的信息安全問(wèn)題。

2010年以前，全球工業(yè)安全事件發(fā)生頻率還較少，但這個(gè)數據在2010年以后急劇上升。據權威工業(yè)安全事件信息庫RISI統計，截止到2013年10 月，全球已發(fā)生300余起針對工業(yè)控制系統的攻擊事件，而且，這個(gè)數據還在不斷刷新。這說(shuō)明黑客針對工業(yè)控制系統的關(guān)注度在不斷提升，嚴重威脅著(zhù)生產(chǎn)安全。

全球各地不斷發(fā)生的工控信息安全事件給我們3個(gè)啟示：一是黑客技術(shù)高超，制造的病毒不易被發(fā)現；二是針對工控系統的攻擊不是個(gè)人所為，而是團伙作案；三是針對工控系統的攻擊除了個(gè)人獲利因素外，更重要的是帶有敵對思想和很強的政治色彩。

因此，如果對工控系統沒(méi)有嚴格的管控措施，在敵對勢力發(fā)動(dòng)網(wǎng)絡(luò )攻擊，或是潛藏在工控系統中的木馬病毒發(fā)生作用時(shí)，其后果堪比一場(chǎng)戰爭帶來(lái)的災難。目前，我國工控領(lǐng)域的法律規范和國家安全標準相對欠缺，也沒(méi)有嚴格的市場(chǎng)準入制度，國家對國產(chǎn)工控設備的產(chǎn)業(yè)支持力度還有待加強。這種局面必須得到徹底改觀(guān)，否則，國家安全、人民的安康都將籠罩在工控系統安全風(fēng)險的陰霾之中。

近年來(lái)，國家非常重視工業(yè)控制系統信息安全問(wèn)題，已經(jīng)把安全問(wèn)題提升到與發(fā)展同等的高度來(lái)看待。中共中央總書(shū)記、國家主席、中央軍委主席、中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組組長(cháng)習近平2014年2月27日下午主持召開(kāi)中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組第一次會(huì )議并發(fā)表重要講話(huà)。會(huì )議中，習總書(shū)記指出，沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全，沒(méi)有信息化就沒(méi)有現代化。

工業(yè)和信息化部2011年9月發(fā)布《關(guān)于加強工業(yè)控制系統信息安全管理的通知》（[2011]451號），通知明確了工業(yè)控制系統信息安全管理的組織領(lǐng)導、技術(shù)保障、規章制度等方面的要求，并在工業(yè)控制系統的連接、組網(wǎng)、配置、設備選擇與升級、數據、應急管理等六個(gè)方面提出了具體要求。

2012年6月28號國務(wù)院《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)（國發(fā)[2012]23號》中明確要求：保障工業(yè)控制系統安全；重點(diǎn)保障對可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統。

國家發(fā)改委從2011年開(kāi)始開(kāi)展工業(yè)控制系統信息安全專(zhuān)項，涉及到面向現場(chǎng)設備環(huán)境的邊界安全專(zhuān)用網(wǎng)關(guān)產(chǎn)品、面向集散控制系統（DCS）的異常監測產(chǎn)品、面向SCADA系統的安全采集遠程終端單元（RTU）產(chǎn)品以及工業(yè)應用軟件漏洞掃描產(chǎn)品等產(chǎn)業(yè)化項目。在電力電網(wǎng)、石油石化、先進(jìn)制造、軌道交通等領(lǐng)域，支持大型重點(diǎn)骨干企業(yè)，按照信息安全等級保護相關(guān)要求，開(kāi)展工業(yè)控制系統信息安全建設的試點(diǎn)示范。

目前已頒布了如下標準：

GB/T 26333-2010《工業(yè)控制網(wǎng)絡(luò )安全風(fēng)險評估規范》；

GB/T 30976.1-2014-工業(yè)控制系統信息安全 第1部分：評估規范；

GB/T 30976.2-2014-工業(yè)控制系統信息安全 第2部分：驗收規范；

此外，《工業(yè)控制系統信息安全等級保護設計技術(shù)指南(草稿)》、《工業(yè)控制系統信息安全等級保護基本要求(草稿）》正在編寫(xiě)過(guò)程中。

《集散控制系統（DCS）安全防護標準》正在征求意見(jiàn)中。

在工控安全建設方面走在前列的電力行業(yè)早些年已經(jīng)在生產(chǎn)系統中建立了相關(guān)規范，如《電力二次系統安防護規定》（電監會(huì )5號令）、《電力二次系統安全防護總體方案》（電監會(huì )全34號文）等，發(fā)改委14號令 《電力監控系統安全防護規定》。

公安部、經(jīng)信委等也在不斷對影響國計民生的公共系統進(jìn)行滲透檢查，發(fā)現了眾多問(wèn)題。

2　工業(yè)控制系統信息安全建設思路

目前，工業(yè)控制系統信息安全建設思路是以風(fēng)險管理為核心，通過(guò)了解自身工業(yè)控制系統信息安全風(fēng)險，并通過(guò)合適的管理和技術(shù)措施對這些風(fēng)險進(jìn)行控制，達到企業(yè)工控系統信息安全風(fēng)險可控的目標。風(fēng)險管理是指如何在一個(gè)肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過(guò)程。風(fēng)險管理包括對風(fēng)險的量度、評估和應變策略。

眾所周知，工業(yè)控制系統信息安全風(fēng)險和事件不可能完全避免，沒(méi)有絕對的安全。信息安全本身是高技術(shù)的對抗，有別于傳統安全，呈現擴散速度快、難控制等特點(diǎn)。因此，管理工業(yè)控制系統信息安全必須以風(fēng)險管理的方式，關(guān)鍵在于如何控制、化解和規避風(fēng)險，而不是完全消除風(fēng)險。好的風(fēng)險管理過(guò)程可以讓企業(yè)以最具成本效益的方式運行，并且使已知的風(fēng)險維持在可接受的水平。好的風(fēng)險管理過(guò)程使組織可以用一種一致的、條理清晰的方式來(lái)組織有限的資源并確定優(yōu)先級，更好地管理風(fēng)險，而不是將寶貴的資源用于解決所有可能的風(fēng)險。

風(fēng)險，通俗講是指不幸事件發(fā)生的概率。影響風(fēng)險的發(fā)生與兩個(gè)因素密不可分，即弱點(diǎn)和威脅。也就是說(shuō)，要做到風(fēng)險可控，就必須非常清楚地了解自身的弱點(diǎn)和威脅源，通過(guò)對自身弱點(diǎn)進(jìn)行加固，并有效阻止威脅源的入侵來(lái)實(shí)現風(fēng)險可控。

2.1　工業(yè)控制系統面臨的主要威脅

（1）外部攻擊的發(fā)展

工業(yè)控制系統采用大量的IT技術(shù)，互聯(lián)性逐步加強，神秘的面紗逐步被揭開(kāi)，工業(yè)控制信息安全日益進(jìn)入黑客的研究范圍，國內外大型的信息安全交流會(huì )議已經(jīng)把工業(yè)控制信息安全作為一個(gè)重要的討論議題。隨著(zhù)黑客的攻擊技術(shù)不斷進(jìn)步，攻擊的手段日趨多樣，對于他們來(lái)說(shuō)，入侵到某個(gè)系統，成功破壞其完整性是很有可能的。例如近幾年的震網(wǎng)、duqu、火焰、havex等病毒攻擊證明黑客開(kāi)始對工控系統感興趣。

（2）內部威脅的加劇

根據FBI和CSI對484家公司進(jìn)行的網(wǎng)絡(luò )安全專(zhuān)項調查結果顯示，超過(guò)70%的安全威脅來(lái)自公司內部，在損失金額上，由于內部人員泄密導致了6056.5萬(wàn)美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另?yè)袊鴩倚畔踩珳y評中心調查，信息安全的現實(shí)威脅也主要為內部信息泄露和內部人員犯罪，而非病毒和外來(lái)黑客。

工業(yè)控制系統普遍缺乏網(wǎng)絡(luò )準入和控制機制，上位機與下位機通訊缺乏身份鑒別和認證機制，只要能夠從協(xié)議層面跟下位機建立連接，即可以對下位機進(jìn)行修改，普遍缺乏對系統最高權限的限制，高權限賬號往往掌握著(zhù)數據庫和業(yè)務(wù)系統的命脈，任何一個(gè)操作都可能導致數據的修改和泄露。并且缺乏事后追查的有效工具，也讓責任劃分和威脅追蹤變得更加困難。

（3）應用軟件的威脅

設備提供商提供的應用授權版本不可能十全十美，各種各樣的后門(mén)、漏洞等問(wèn)題都有可能出現。出于成本的考慮，工業(yè)控制系統的組態(tài)軟件一般與其工控系統是同一家公司的產(chǎn)品，在測試節點(diǎn)問(wèn)題容易隱藏，且組態(tài)軟件的不成熟也會(huì )為系統帶來(lái)威脅。

（4）第三方維護人員的威脅

第三方維護人員的威脅。工業(yè)控制系統建設在發(fā)展的過(guò)程中，因為戰略定位和人力等諸多原因，越來(lái)越多的會(huì )將非核心業(yè)務(wù)外包給設備商。如何有效地管控設備廠(chǎng)商和運維人員的操作行為，并進(jìn)行嚴格的審計是系統運營(yíng)面臨的一個(gè)關(guān)鍵問(wèn)題。

（5）多種病毒的泛濫

病毒可通過(guò)移動(dòng)存儲設備、外來(lái)運維的電腦，無(wú)線(xiàn)系統等進(jìn)入工控系統，當病毒侵入網(wǎng)絡(luò )后，自動(dòng)收集有用信息，如關(guān)鍵業(yè)務(wù)指令、網(wǎng)絡(luò )中傳輸的明文口令等，或是探測網(wǎng)內計算機的漏洞，向網(wǎng)內計算機傳播病毒。由于病毒在網(wǎng)絡(luò )中大規模的傳播與復制，極大地消耗網(wǎng)絡(luò )資源，嚴重時(shí)有可能造成網(wǎng)絡(luò )擁塞、網(wǎng)絡(luò )風(fēng)暴甚至網(wǎng)絡(luò )癱瘓，這是影響工業(yè)控制系統網(wǎng)絡(luò )安全的主要因素之一。

2.2　工業(yè)控制系統自身弱點(diǎn)按管理和技術(shù)的分類(lèi)

（1）信息安全管理方面脆弱性

·組織結構人員職責不完善，缺乏專(zhuān)業(yè)人員。大部分行業(yè)未設置工控系統信息安全管理部門(mén)，未明確建設運維相關(guān)部門(mén)的安全職責和技能要求。同時(shí)普遍缺乏信息安全人才。

·信息安全管理制度流程欠完善?，F在大部分行業(yè)還未形成完整的政策制度保障信息安全，缺乏工業(yè)控制系統規劃、建設、運維、廢止全生命周期的信息安全需求和設計管理，欠缺配套的管理體系、處理流程、人員責任等規定。

·應急響應機制欠健全，需進(jìn)一步提高信息安全事件的應對能力。由于響應機制不夠健全，缺乏應急響應組織和標準化的事件處理流程，發(fā)生信息安全事件后人員通常依靠經(jīng)驗判斷安全事件發(fā)生的設備和影響范圍，逐一進(jìn)行排查，響應能力不高。

·人員信息安全培訓不足，技術(shù)和管理能力以及人員安全意識有待提高。大部分行業(yè)有針對工控系統的業(yè)務(wù)培訓，但是面向全員的信息安全意識宣傳，信息安全技術(shù)和管理培訓均比較薄弱，需加強信息安全體系化宣傳和培訓。

·尚需完善第三方人員管理體制。大部分的行業(yè)會(huì )將設備建設運維工作外包給設備商或集成商，尤其針對國外廠(chǎng)商，業(yè)主不了解工控設備技術(shù)細節，對于所有的運維操作無(wú)控制、無(wú)審計，留有安全隱患。

（2）信息安全技術(shù)方面脆弱性

·未進(jìn)行安全域劃分，區域間未設置訪(fǎng)問(wèn)控制措施。隨著(zhù)工控系統的集成度越來(lái)越高，呈現統一管理、集中監控的趨勢，系統的互聯(lián)程度大大提高。但是大部分行業(yè)的工控系統各子系統之間沒(méi)進(jìn)行安全分區，系統邊界不清楚，邊界訪(fǎng)問(wèn)控制策略缺失等。

·缺少信息安全風(fēng)險監控技術(shù)，不能及時(shí)發(fā)現信息安全問(wèn)題，出現問(wèn)題后靠人員經(jīng)驗排查。在工控網(wǎng)絡(luò )上普遍缺少信息安全監控機制，不能及時(shí)了解網(wǎng)絡(luò )狀況，一旦發(fā)生問(wèn)題不能及時(shí)確定問(wèn)題所在，及時(shí)排查到故障點(diǎn)，排查過(guò)程耗費大量人力成本、時(shí)間成本。

·系統運行后，操作站和服務(wù)器很少打補丁，存在系統漏洞，系統安全配置較薄弱，防病毒軟件安裝不全面。大部分行業(yè)工控系統投產(chǎn)后，對操作系統極少升級，而操作系統會(huì )不斷曝出漏洞，導致操作站和服務(wù)器暴露在風(fēng)險中。系統自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面，即使安裝后也不及時(shí)更新防惡意代碼軟件版本和惡意代碼庫。

·工程師站缺少身份認證和接入控制，且權限很大。有些行業(yè)工程師站登陸過(guò)程缺少身份認證，且工程師站對操作站、控制器等進(jìn)行組態(tài)時(shí)均缺乏身份認證，存在任意工程師站可以對操作站、現場(chǎng)設備直接組態(tài)的可能性。

·存在使用移動(dòng)存儲介質(zhì)不規范問(wèn)題，易引入病毒以及黑客攻擊程序。在工控系統運維和使用過(guò)程中，存在隨意使用U盤(pán)、光盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)存儲介質(zhì)現象，有可能傳染病毒、木馬等威脅生產(chǎn)系統。

·第三方人員運維生產(chǎn)系統無(wú)審計措施。出現問(wèn)題后無(wú)法及時(shí)準確定位問(wèn)題原因、影響范圍及追究責任。

·上線(xiàn)前未進(jìn)行信息安全測試。一些行業(yè)工控系統在上線(xiàn)前未進(jìn)行安全性測試，系統在上線(xiàn)后存在大量安全風(fēng)險漏洞，安全配置薄弱，甚至有的系統帶毒工作。

·無(wú)線(xiàn)通信安全性不足。一些行業(yè)工控系統中大量使用無(wú)線(xiàn)網(wǎng)絡(luò )，在帶來(lái)方便的同時(shí)，隨之而來(lái)的是無(wú)線(xiàn)網(wǎng)絡(luò )安全方面的威脅。其中包括未授權用戶(hù)的非法接入、非法AP欺騙生產(chǎn)設備接入、數據在傳輸過(guò)程中被監聽(tīng)竊取、基于無(wú)線(xiàn)的入侵行為等。

通過(guò)開(kāi)展工控信息安全風(fēng)險評估工作，能夠詳細分析出上述威脅和弱點(diǎn)產(chǎn)生原因和安全風(fēng)險防御的方法，再選擇合適的管理措施和技術(shù)措施進(jìn)行加固，從而實(shí)現工控信息安全風(fēng)險可控。

3　工業(yè)控制系統信息安全解決方案

啟明星辰工業(yè)控制系統信息安全解決方案，以工業(yè)控制信息安全管理系統為核心，以旁路檢測、串聯(lián)防護、現場(chǎng)防護三大引擎為支撐，全面實(shí)現全網(wǎng)工控設備的統一安全監測和防護，安全風(fēng)險集中分析和展現。輔助以貫穿工業(yè)控制系統需求、設計、建設、運營(yíng)、廢除全生命周期的工控安全風(fēng)險評估平臺，實(shí)現信息安全風(fēng)險的動(dòng)態(tài)管理。工控信息安全防護體系如圖1所示。

圖1 工業(yè)控制信息安全管理系統

啟明星辰工控信息安全解決方案主要特點(diǎn)：一是縱深防御，集防護、監測、管理于一體；二是基于全生命周期管理，即工控系統軟件開(kāi)發(fā)全生命周期管理、攻擊過(guò)程全生命周期管理。

3.1　縱深防御，集防護、監測、管理于一體

啟明星辰縱深防御思想，主要體現在保證系統可用性前提下，對工業(yè)控制系統進(jìn)行防護，實(shí)現“垂直分層，水平分區；邊界控制，內部監測；集中展現”。

“垂直分層、水平分區”，即按照工業(yè)控制系統的層次結構，垂直方向化分為四層：現場(chǎng)設備層、現場(chǎng)控制層、監督控制層、生產(chǎn)管理層。水平分區指各工業(yè)控制系統之間應該從網(wǎng)絡(luò )上隔離開(kāi)，處于不同的安全區。

“邊界控制，內部監測”，即對系統邊界，即各操作站、工業(yè)控制系統連接處、無(wú)線(xiàn)網(wǎng)絡(luò )等要進(jìn)行邊界防護和準入控制等。對工業(yè)控制系統內部要監測網(wǎng)絡(luò )流量數據以發(fā)現入侵、業(yè)務(wù)異常、訪(fǎng)問(wèn)關(guān)系異常和流量異常等問(wèn)題。

“集中展現”，即對工控系統中可能涉及的各類(lèi)設備，包括工業(yè)防火墻、防病毒系統、入侵檢測系統、漏洞掃描系統、操作員站、工程師站、適時(shí)數據庫、歷史數據庫、PLC、路由器、交換機等，進(jìn)行統一采集和識別這些設備產(chǎn)生的安全事件和告警信息、日志信息等，并通過(guò)多維度可視化的界面進(jìn)行綜合展示，使監控人員一站式的查詢(xún)檢索安全及威脅信息，了解安全態(tài)勢，指導企業(yè)進(jìn)行工控系統信息安全建設。

系統面臨的主要安全威脅來(lái)自于黑客攻擊、惡意代碼（病毒蠕蟲(chóng)）、越權訪(fǎng)問(wèn)（非授權接入）、移動(dòng)介質(zhì)、弱口令、操作系統漏洞、誤操作和業(yè)務(wù)異常等，因此，其安全防護應在以下方面予以重點(diǎn)完善和強化。

·入侵檢測及防御；

·惡意代碼防護；

·內部網(wǎng)絡(luò )異常行為的檢測；

·邊界訪(fǎng)問(wèn)控制和系統訪(fǎng)問(wèn)控制策略；

·工業(yè)控制系統開(kāi)發(fā)與維護的安全；

·身份認證和行為審計；

·賬號唯一性和口令安全，尤其是管理員賬號和口令的管理；

·操作站操作系統安全；

·移動(dòng)存儲介質(zhì)的標記、權限控制和審計；

·設備物理安全。

結合工業(yè)控制系統信息安全防護思路，將典型工業(yè)控制系統分為四層，即生產(chǎn)管理層、監督控制層、現場(chǎng)控制層、現場(chǎng)設備層。每一個(gè)工業(yè)控制系統應單獨劃分在一個(gè)區域里。

生產(chǎn)管理層主要是生產(chǎn)調度，詳細生產(chǎn)流程，可靠性保證和站點(diǎn)范圍內的控制優(yōu)化相關(guān)的系統。監督控制層包括了監督和控制實(shí)際生產(chǎn)過(guò)程的相關(guān)系統。包括如下設備：

·人機界面HMI，操作員站，負責組態(tài)的工程師站等；

·報警服務(wù)器及報警處理；

·監督控制功能；

·實(shí)時(shí)數據收集與歷史數據庫，用于連接的服務(wù)器客戶(hù)機等。

現場(chǎng)控制層是對來(lái)自現場(chǎng)設備層的傳感器所采集的數據進(jìn)行操作，執行控制算法，輸出到執行器（如控制閥門(mén)等）執行，該層通過(guò)現場(chǎng)總線(xiàn)或實(shí)時(shí)網(wǎng)絡(luò )與現場(chǎng)設備層的傳感器和執行器形成控制回路。該層控制功能可以是連續控制、順序控制、批量控制和離散控制等類(lèi)型。設備包括但不限于如下所示：

·DCS控制器；

·可編程邏輯控制器PLC；

·遠程終端單元RTU。

現場(chǎng)設備層對生產(chǎn)設施的現場(chǎng)設備進(jìn)行數據采集和輸出操作的功能，包括所有連在現場(chǎng)總線(xiàn)或實(shí)時(shí)網(wǎng)絡(luò )的傳感器（模擬量和開(kāi)關(guān)量輸入）和執行器（模擬量和開(kāi)關(guān)量輸出）。

對單一工業(yè)控制系統的網(wǎng)絡(luò )安全域劃分如圖2所示。

圖2 單一工業(yè)控制系統的網(wǎng)絡(luò )安全域

根據“邊界控制，內部監測，集中展現”的防護思路，典型的工業(yè)控制網(wǎng)絡(luò )安全防護如圖3所示。

圖3 典型的工業(yè)控制網(wǎng)絡(luò )安全防護

通過(guò)工業(yè)控制信息安全管理系統對整個(gè)工業(yè)控制理。對工業(yè)控制現場(chǎng)控制設備、信息安全設備、網(wǎng)絡(luò )設備、服務(wù)器、操作站等進(jìn)行統一資產(chǎn)管理，并對各設備的信息安全監控和報警、信息安全日志信息進(jìn)行集中管理。根據安全審計策略對各類(lèi)安全信息進(jìn)行分類(lèi)管理與查詢(xún)，系統對各類(lèi)信息安全報警和日志信息進(jìn)行關(guān)聯(lián)分析，展現全網(wǎng)的安全風(fēng)險分布和趨勢。

防護類(lèi)措施如下：

（1）在區域邊界處部署工業(yè)防火墻設備，實(shí)現IP/端口的訪(fǎng)問(wèn)控制、應用層協(xié)議訪(fǎng)問(wèn)控制、流量控制等?；蛘卟渴鹁W(wǎng)閘設備，切斷網(wǎng)絡(luò )鏈路層鏈接，完成兩個(gè)網(wǎng)絡(luò )的數據交換。

（2）在操作站、工程師站部署操作站安全系統實(shí)現移動(dòng)存儲介質(zhì)使用的管理、軟件黑白名單管理、聯(lián)網(wǎng)控制、網(wǎng)絡(luò )準入控制、安全配置管理等。

（3）現場(chǎng)運維審計與管理系統是手持移動(dòng)設備，運維人員運維現場(chǎng)設備時(shí)，先接入審計系統，再連接現場(chǎng)設備。審計系統可審計運維操作命令、運維工具使用錄像等，亦可進(jìn)行防病毒、訪(fǎng)問(wèn)控制等安全防護。

（4）WiFi入侵檢測與防護設備是放在基于ＷiFi組網(wǎng)的現場(chǎng)設備網(wǎng)絡(luò )中，可實(shí)現非法AP阻斷，非法外來(lái)設備接入生產(chǎn)網(wǎng)絡(luò )，基于ＷiFi的入侵檢測等。

監控檢查類(lèi)措施如下：

（1）在工業(yè)以太網(wǎng)交換機上部署工控異常監測系統，監測工業(yè)控制系統內部入侵行為，異常操作行為，發(fā)現異常流量和異常訪(fǎng)問(wèn)關(guān)系等。

（2）部署工控漏洞掃描系統，在系統檢修、停機或新系統上線(xiàn)時(shí)進(jìn)行漏洞掃描，對漏洞進(jìn)行修補。

（3）部署安全配置基線(xiàn)核查系統，在系統檢修、停機或新系統上線(xiàn)時(shí)進(jìn)行配置基線(xiàn)檢查，重點(diǎn)關(guān)注操作站、工程師站、服務(wù)器等開(kāi)放的服務(wù)，賬號密碼策略、協(xié)議的安全配置等問(wèn)題，對風(fēng)險進(jìn)行安全加固。

縱深防御的工控信息安全防護體系是建立在整體工業(yè)控制網(wǎng)絡(luò )各個(gè)關(guān)鍵環(huán)節的基礎之上，能夠有效發(fā)現、防護、監測和審計網(wǎng)絡(luò )安全活動(dòng)，對企業(yè)工控系統正常生產(chǎn)運行起到了非常關(guān)鍵的作用。但是對于工控系統本身而言，系統自身存在的安全缺陷卻容易被威脅利用，從根本上解決這類(lèi)問(wèn)題還需要從軟件開(kāi)發(fā)全生命周期管理來(lái)盡可能地實(shí)現軟件本身的安全性。

3.2　基于全生命周期管理

3.2.1　工業(yè)控制系統軟件開(kāi)發(fā)全生命周期管理

工業(yè)控制系統開(kāi)發(fā)商在需求、設計、編碼、測試、上線(xiàn)、運行和持續完善的各個(gè)階段，存在的主要問(wèn)題是重功能實(shí)現，輕安全功能，這樣就造成了工業(yè)控制系統本身存在許多可以被威脅利用的漏洞，從而產(chǎn)生工控信息安全風(fēng)險。

下面通過(guò)說(shuō)明應用程序設計風(fēng)險、編碼缺陷與配置缺陷來(lái)重點(diǎn)闡述工業(yè)控制系統應用程序的安全風(fēng)險。

（1）工業(yè)控制系統應用程序設計風(fēng)險

·設計復雜，沒(méi)有達到簡(jiǎn)單性與附加安全特征間的平衡。在系統中通過(guò)少數的瓶頸點(diǎn)實(shí)現安全關(guān)鍵的操作，運用少量的、復雜的、多功能軟件組件操作，在多個(gè)安全級別，在不需要時(shí)調用了組件的安全功能。

過(guò)多的用戶(hù)接口與輸出，沒(méi)有確保用戶(hù)接口僅包含需要的功能，設計接口沒(méi)有考慮是否會(huì )被用戶(hù)繞過(guò)。沒(méi)有集中向下寫(xiě)到一個(gè)程序，沒(méi)有做程序信息流的分析。

·設計層次沒(méi)有防御概念，在系統中僅有很少的安全層次，當一個(gè)層次被破壞的情況下，不能有效地阻止安全違背行為。沒(méi)有一系列的防御層，使得一個(gè)單層被滲透的情況下能夠造成整個(gè)系統被破壞的可能性。如表1所示，隨著(zhù)防御機制的增強，攻擊者需要偷取數據所花費的代價(jià)也相應加大。

表1 防御機制與攻擊者所花費代價(jià)對比

·用戶(hù)與應用數據的驗證，沒(méi)有考察所有的潛在區域，有可能通過(guò)這些區域，不可信的信息輸入進(jìn)入應用程序，沒(méi)有驗證通過(guò)應用程序的任意數值，沒(méi)有檢查接收的數值是否是允許的數據類(lèi)型或格式。

·沒(méi)有限制特權，允許不必要的特權給應用和功能，可能會(huì )潛在地導致未授權的信息進(jìn)入敏感區域。特權沒(méi)有給予時(shí)間限制，沒(méi)有實(shí)現角色概念，實(shí)現不同的角色關(guān)聯(lián)不同的特權。

·信任開(kāi)源軟件，使用前沒(méi)有進(jìn)行評估。目前由于使用開(kāi)源軟件帶來(lái)的問(wèn)題遠遠高于商業(yè)軟件，所以這也是導致應用系統風(fēng)險的重要因素之一。

·無(wú)失效保護。應用系統沒(méi)有考慮失效保護問(wèn)題，通常攻擊者會(huì )等待他們期待的系統失效類(lèi)型，進(jìn)而來(lái)挖掘系統的脆弱性，比如說(shuō)系統失效時(shí)是否允許訪(fǎng)問(wèn)，是否恢復到安全狀態(tài)等。

·無(wú)敏感信息保護。對應用系統來(lái)說(shuō)阻止訪(fǎng)問(wèn)敏感信息是非常重要的，以防止信息泄露。這方面的設計通常需要注意：當敏感信息不再使用時(shí)沒(méi)有立即刪除；加密密鑰沒(méi)有存儲在安全區域；

沒(méi)有運用CRC或SHA算法進(jìn)行完整性保護；沒(méi)有關(guān)閉調試代碼，從而導致應用系統的關(guān)鍵信息對外部接口是開(kāi)放的。

·沒(méi)有安全的保護網(wǎng)絡(luò )接口，應用系統的進(jìn)出點(diǎn)沒(méi)有很好的定義、文檔化，網(wǎng)絡(luò )端口在通信完成后還處于激活狀態(tài)，通信發(fā)生時(shí)沒(méi)有相應的審計與日志。

（2）工業(yè)控制系統編碼缺陷工業(yè)控制系統編碼缺陷包括如下幾個(gè)方面:

·未驗證的輸入。比如緩沖區溢出、整形溢出、注入缺陷（命令、SQL、LDAP）等。

·數據保護或存儲失效。在安全存儲數據時(shí)，需要考慮：需要訪(fǎng)問(wèn)數據的權限；數據加密問(wèn)題；存儲密鑰的威脅。

·不正確的錯誤處理。通常包含幾個(gè)方面：不能處理一個(gè)錯誤的條件；程序停留在一個(gè)不安全的狀態(tài)；由拒絕服務(wù)導致應用程序死掉。

·信息泄露。通常導致信息泄露的主要方式有兩種：一種是無(wú)意的，比如由于代碼或非顯而易見(jiàn)的通道問(wèn)題導致有價(jià)值的信息輸出，或由于代碼中的注釋或冗長(cháng)的錯誤信息導致；另一種是故意的，比如沒(méi)有適當的保護機密信息。防止信息泄露需要深入理解黑客通常所用的技術(shù)與方法，以及對他們有用的信息類(lèi)型。

·競爭條件。指的是應用系統如果采用多任務(wù)的方式，需要考慮系統資源的管理，需要考慮不同任務(wù)的優(yōu)先級，任務(wù)的調度機制，內存的分配，避免任務(wù)間的死鎖等情況。

·惡意代碼。有意地插入代碼以破壞應用的安全性，通常能夠隱藏在調試軟件、加載程序、時(shí)間炸彈、特洛伊木馬等程序中。

（3）工業(yè)控制系統配置缺陷

工業(yè)控制系統配置缺陷通常是由于沒(méi)有好的配置管理導致，沒(méi)有建立一個(gè)專(zhuān)門(mén)的配置管理團隊負責不同項目配置管理分支的創(chuàng )建、更改、撤銷(xiāo)與維護。沒(méi)有設置不同的配置管理級別，以禁止對配置項目未授權的更改，比如說(shuō)禁止測試人員在開(kāi)發(fā)分支上更改代碼。另外，好的配置管理禁止開(kāi)發(fā)與測試人員刪除配置項，只允許添加，對測試文檔，測試過(guò)程中使用的任何工具都需要在配置管理中進(jìn)行維護。

工控系統本身的健壯性對工業(yè)生產(chǎn)起到?jīng)Q定性的作用，只有工控系統軟件在需求、設計、編碼、測試、上線(xiàn)、運行和不斷完善的各個(gè)階段在考慮功能實(shí)現的同時(shí)，充分考慮安全功能需求，才能加強工控系統本身的健壯性，避免漏洞被威脅利用。

3.2.2　攻擊過(guò)程全生命周期管理

工控系統出現信息安全風(fēng)險看似偶然，但肯定存在其必然性。從整個(gè)黑客攻擊過(guò)程來(lái)看，分為搜索、掃描、獲得權限、保持連接、消除痕跡五個(gè)步驟，這五個(gè)步驟又可以歸為事前（搜索、掃描）、事中（獲得權限、保持連接）和事后（消除痕跡）三個(gè)階段。

啟明星辰工控信息安全解決方案可以通過(guò)工控安全評估服務(wù)，并結合工控信息安全產(chǎn)品體系，對工業(yè)控制系統網(wǎng)絡(luò )攻擊過(guò)程全生命周期進(jìn)行管理和控制，從而達到風(fēng)險可控的目標。具體做法是：

（1）事前

·提供工控系統信息安全意識教育培訓，防止黑客搜索到企業(yè)相關(guān)信息。比如，確保系統不會(huì )將信息泄露到網(wǎng)絡(luò )上，其中包括：軟件版本和補丁級別；電子郵件地址；關(guān)鍵人員的姓名和職務(wù)；確保紙質(zhì)信息得到妥善處理；接受域名注冊查詢(xún)時(shí)提供通用的聯(lián)系信息；禁止對來(lái)自周邊局域網(wǎng)/廣域網(wǎng)設備的掃描企圖進(jìn)行回應等。

·提供工控系統信息安全風(fēng)險評估服務(wù)。比如：漏洞掃描、配置核查，滲透測試、白盒測試等，發(fā)現自身安全漏洞，及時(shí)進(jìn)行安全加固，防止被黑客掃描到漏洞信息。一般加固措施包括：關(guān)閉所有不必要的端口和服務(wù)；關(guān)閉關(guān)鍵設備或處理敏感信息的設備，只容許響應經(jīng)過(guò)核準設備的請求；加強管理系統的控制，禁止直接訪(fǎng)問(wèn)外部服務(wù)器，在特殊情況下需要訪(fǎng)問(wèn)的時(shí)間，也應該在訪(fǎng)問(wèn)控制列表中進(jìn)行端到端連接的控制；確保局域網(wǎng)/廣域網(wǎng)系統以及端點(diǎn)的補丁級別是足夠安全的。

（2）事中

通過(guò)在工業(yè)控制系統網(wǎng)絡(luò )安全域邊界部署網(wǎng)關(guān)設備（工業(yè)防火墻、工業(yè)網(wǎng)閘、工業(yè)入侵防護等設備），對網(wǎng)絡(luò )訪(fǎng)問(wèn)活動(dòng)進(jìn)行細粒度過(guò)濾和控制，防止非法訪(fǎng)問(wèn)和連接。

通過(guò)在關(guān)鍵位置部署工控異常檢測系統，監測工業(yè)控制系統網(wǎng)絡(luò )異?；顒?dòng)，包括監測基于木馬、病毒特征的特征庫，可以定義針對工控系統業(yè)務(wù)操作的工控指令行為特征進(jìn)行過(guò)濾，從而實(shí)現既能監測網(wǎng)絡(luò )異?；顒?dòng)情況，也能同時(shí)監測工控系統業(yè)務(wù)指令的合法性，及時(shí)報警，迅速處置，避免風(fēng)險的發(fā)生。

（3）事后

在黑客實(shí)現攻擊的目的后，攻擊者通常會(huì )采取各種措施來(lái)隱藏入侵的痕跡并為今后可能的訪(fǎng)問(wèn)留下控制權限。所以，在這個(gè)階段需要在工業(yè)控制系統網(wǎng)絡(luò )中部署工控信息安全審計系統，對所有非法、異?；顒?dòng)，主要包括安全事件、安全日志、安全告警等，進(jìn)行全程審計，以達到追究當事人責任和總結經(jīng)驗教訓的目的。

另外，對設備運維人員也需要配置運維審計系統，防止發(fā)生未授權的操作等情況發(fā)生。

“防住風(fēng)險、控住事故、保住安全”是“抓執行、抓過(guò)程、建機制”安全風(fēng)險管控的最基本和首要要求。應該以“事前預防”做到“防住風(fēng)險”；以“事中控制”做到“控住事故”；以“事后總結”做到“保住安全”。

4　結語(yǔ)

總之，工業(yè)控制系統信息安全事關(guān)國家安全，為有效應對網(wǎng)絡(luò )攻擊的新變化，需要整個(gè)工控系統信息安全產(chǎn)業(yè)鏈迅速行動(dòng)起來(lái)。加強信息安全威脅分析等基礎技術(shù)研究，加強關(guān)鍵基礎設施及其控制系統的安全評估，加快推動(dòng)國產(chǎn)技術(shù)產(chǎn)品對國外產(chǎn)品的替代，聯(lián)合開(kāi)展針對關(guān)鍵基礎設施的網(wǎng)絡(luò )攻防演習，搭建工業(yè)控制系統漏洞檢測等公共技術(shù)平臺，為我國工業(yè)控制系統安全生產(chǎn)保駕護航！

作者簡(jiǎn)介

鄭凌鵬（1978-），男，湖北云夢(mèng)人，本科學(xué)歷，Security CCIE，現就職于啟明星辰信息技術(shù)集團股份有限公司，任工控安全首席顧問(wèn)。專(zhuān)業(yè)從事信息安全工作7年時(shí)間，精通信息安全體系，熟悉國家和行業(yè)信息安全政策及監管要求，熟悉國內國際信息安全標準。曾調研多家DCS廠(chǎng)商和工控企業(yè)用戶(hù)現場(chǎng)環(huán)境，能夠將傳統信息安全理念很好地與工業(yè)控制系統有機結合，形成具有不同行業(yè)用戶(hù)特色的工業(yè)控制系統信息安全解決方案。主要專(zhuān)業(yè)方向為網(wǎng)絡(luò )技術(shù)、信息安全技術(shù)、工控安全。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第二輯）》